关闭

jsp的防注入代码

标签: javascript防注入代码
490人阅读 评论(0) 收藏 举报
分类:

//这里写在一个名为sql_inj.java的文件中
public static boolean sql_inj(String str)
 {
    String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-| |,";//这里的东西还可以自己添加
    String inj_stra[] = split(inj_str,"|");
    for (int i=0 ; i < inj_stra.length ; i )
    {
        if (str.indexOf(inj_stra[i])>=0)
        {
            return true;
        }
    }
    return false;
 }

 jsp中调用该函数检查是否包函非法字符
 <%
 sql_inj antihack=new sql_inj()
  if(request.getParameter("userID") != null)
     userID = request.getParameter("userID").trim();//这里的也一样

  if (antihack.sql_inj(userID) || antihack.sql_inj(pwd)){//这里的userid和pwd你改成自己的变量
   %>
   <Script Language=javascript>alert('参数中包含非法字符!');history.back(-1);</Script>" ;
   <%
  }else{
  //这里把正常执行的代码包含进来
 }
%>


0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:179391次
    • 积分:2894
    • 等级:
    • 排名:第12295名
    • 原创:91篇
    • 转载:135篇
    • 译文:2篇
    • 评论:15条
    最新评论